Symantec dejará de ser una autoridad emisora de certificados

Escrito por Rubén Velasco

Los certificados TLS son los que se encargan de proteger nuestro tráfico en Internet, cifrando los datos de extremo a extremo y evitando que estos puedan ser interceptados y modificados en ataques MITM. Las entidades emisoras de certificados, o CA, son las responsables de generar estos certificados y, además, de comprobar y garantizar que el sitio que usa dicho certificado es auténtico y no está suplantado por piratas informáticos. Las autoridades CA tienen que cumplir con unos estrictos procesos de validación que garanticen su identidad, algo que, por ejemplo, Symantec no ha cumplido y le ha hecho perder su título de CA.

En enero de este mismo año, Google empezó a investigar una serie de irregularidades en el proceso de validación de los certificados emitidos por Symantec. Lo que en un principio parecía un caso “aislado” de “solo” 127 certificados, a finales de marzo el número de certificados mal validados y, por lo tanto, incorrectos e inseguros asciende a más de 30.000.

Como ya dijimos, Google va a ir suprimiendo relativamente la validez de los certificados de la compañía. Las páginas web que tengan un certificado emitido por Symantec tendrán que solicitar uno nuevo para no convertirse en una web “potencialmente peligrosa” cuando Google Chrome, y el resto de navegadores web, empiecen a rechazar estos certificados. Además, las negligencias de Symantec han sido tan graves que Google, Mozilla y otras organizaciones han decidido que esta perderá su título de CA y ya no podrá emitir certificados, al menos, hasta que solucione sus graves problemas de seguridad en el proceso de verificación de estos.

Symantec dejará de ser una CA para convertirse en una SubCA

A partir del próximo 1 de diciembre, Symantec perderá su título de autoridad certificadora, o CA, y sus certificados se empezarán a controlar y a ir reduciendo su validez hasta que, a mediados de 2018, concretamente con la llegada de Google Chrome 70, todos ellos dejarán de tener validez.

Tras la investigación que ha llevado a cabo Google, Symantec ha perdido el título de autoridad certificadora, aunque esto no significa que vaya a dejar de emitir certificados. Ahora, la compañía se va a convertir, a partir de diciembre de este año, en un proveedor de certificados digitales, o SubCA, aunque la emisión de los mismos tendrá que correr por parte de otra empresa, por el momento, desconocida.

Si Symantec quiere volver a funcionar como una CA, la compañía tendrá que implementar una nueva infraestructura completa para reestructurar su negocio y poder seguir trabajando como tal, acorde a las medidas de seguridad y los procesos de verificación adecuados para verificar la identidad de las webs que implementan sus certificados.

¿Crees que Symantec es un caso aislado de negligencia en la emisión de certificados CA o que puede hacer más casos si se investigan con detenimiento?

Fuente > Diarioit

Últimos análisis

Valoración RZ
8
Valoración RZ
10
Valoración RZ
8
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10
Valoración RZ
9
Valoración RZ
10